Kettő /64 tartományról beszélünk.
A routered PPPoE interfészére a 2a01:36c:xxxx:yyyy/64-ből
A routered mögötti lan-ra a 2a01:36d:xxxx:yyyy/64-ből
OpenWRT-15.05 esetén a gyári tűzfalszabályok mellett nálam nem delegált LAN oldalra semmit. Így én saját tűzfalszabályt írtam a /etc/firewall.user-be. Onnantól delegál rendesen. A FORWARD táblába az élesztéshez minimumnak csak ennyi került.
ip6tables -I FORWARD 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -I FORWARD 2 -i br-lan -j ACCEPT
ip6tables -I FORWARD 3 -j REJECT